Kennisbank
Security 6 min leestijd

Passkeys: het einde van wachtwoorden.

Wachtwoorden zijn de zwakste schakel in beveiliging. Passkeys vervangen ze door iets beters: veiliger, sneller en gebruiksvriendelijker.

Jasper Koers Gepubliceerd:

In het kort

  • Passkeys vervangen wachtwoorden door cryptografische sleutels op je device
  • Ze zijn phishing-resistent, niet te lekken en niet te hergebruiken op andere sites
  • Alle grote browsers en besturingssystemen ondersteunen passkeys
  • Je kunt passkeys stapsgewijs invoeren naast bestaande authenticatie
  • De gebruikerservaring is beter: inloggen met vingerafdruk of Face ID in plaats van wachtwoorden onthouden

Waarom wachtwoorden niet meer voldoen

Wachtwoorden zijn al decennia de standaard voor authenticatie, maar ze zijn fundamenteel gebroken. Mensen kiezen zwakke wachtwoorden, hergebruiken ze op meerdere sites en trappen in phishing. Datalekken onthullen miljoenen wachtwoorden per jaar. Zelfs met twee-factor authenticatie blijven wachtwoorden een kwetsbaar punt.

Passkeys lossen dit op door wachtwoorden volledig te vervangen. Geen wachtwoord om te onthouden, geen wachtwoord om te lekken, geen wachtwoord om te phishen.

Wat zijn passkeys?

Passkeys zijn een authenticatiemethode gebaseerd op de WebAuthn-standaard (onderdeel van FIDO2). In plaats van een wachtwoord wordt er een cryptografisch sleutelpaar aangemaakt:

  • Private key — Wordt veilig opgeslagen op je device (telefoon, laptop, hardware key). Verlaat het device nooit.
  • Public key — Wordt opgeslagen op de server van de applicatie. Is waardeloos zonder de bijbehorende private key.

Bij het inloggen bewijst je device dat het de private key bezit, zonder die key ooit te delen. Je ontgrendelt dit met biometrie (vingerafdruk, Face ID) of een apparaat-PIN. Het hele proces duurt een paar seconden.

Waarom passkeys veiliger zijn

Phishing-resistent

Passkeys zijn gebonden aan een specifiek domein. Als iemand je naar een nep-website stuurt die lijkt op je bank, werkt je passkey simpelweg niet. Het device weet dat het domein niet klopt en weigert de authenticatie. Dit is fundamenteel anders dan wachtwoorden, die je op elke willekeurige site kunt invoeren.

Niet te lekken

De server slaat alleen de public key op. Als de database gelekt wordt, heeft een aanvaller niets bruikbaars. Vergelijk dit met een wachtwoorddatabase: zelfs gehashte wachtwoorden kunnen gekraakt worden.

Niet te hergebruiken

Elke passkey is uniek per site. Het credential stuffing-probleem — waarbij aanvallers gelekte wachtwoorden op andere sites proberen — bestaat niet met passkeys.

Geen shared secrets

Bij wachtwoorden kennen zowel jij als de server het geheim. Bij passkeys kent alleen jouw device het geheim. De server hoeft nooit het geheim te ontvangen, verwerken of opslaan.

Passkeys zijn niet een betere versie van wachtwoorden. Ze zijn een fundamenteel ander paradigma dat de meeste aanvalsvectoren elimineert.

De gebruikerservaring

Beveiliging die ten koste gaat van gebruiksvriendelijkheid wordt niet geadopteerd. Passkeys zijn juist gebruiksvriendelijker dan wachtwoorden:

  • Registratie — Geen wachtwoord bedenken dat aan tien regels moet voldoen. Een druk op de vingerafdrukscanner en je account is aangemaakt.
  • Inloggen — Geen wachtwoord typen en SMS-code wachten. Vingerafdruk of Face ID en je bent binnen.
  • Wachtwoord vergeten — Bestaat niet meer. Geen resetmails, geen tijdelijke codes, geen frustratie.
  • Meerdere devices — Passkeys synchroniseren via iCloud Keychain, Google Password Manager of vergelijkbare diensten. Je nieuwe telefoon heeft automatisch je passkeys.

Implementatie in je applicatie

Passkeys implementeren in een bestaande applicatie is geen alles-of-niets beslissing. De gangbare aanpak is gefaseerd:

Fase 1: Passkeys als optie

Bied passkeys aan naast bestaande wachtwoordauthenticatie. Gebruikers kunnen een passkey aanmaken als alternatieve inlogmethode. Het bestaande wachtwoord blijft als fallback.

Fase 2: Passkeys als standaard

Maak passkeys de primaire inlogmethode. Nieuwe gebruikers registreren zich met een passkey. Bestaande gebruikers worden gestimuleerd om over te stappen. Wachtwoorden blijven als fallback bestaan.

Fase 3: Passwordless

Wanneer de adoptie hoog genoeg is, kun je wachtwoorden volledig uitfaseren. Dit is de eindsituatie, maar niet de eerste stap.

Technisch gezien komt er een WebAuthn-server component bij je applicatie. In het Laravel-ecosysteem zijn er packages beschikbaar die het zware werk doen. De frontend maakt gebruik van de Web Authentication API die in alle moderne browsers ingebouwd zit.

Ondersteuning

Passkeys worden in 2026 breed ondersteund:

  • Apple — Safari, iOS, macOS — volledig ondersteund via iCloud Keychain
  • Google — Chrome, Android — volledig ondersteund via Google Password Manager
  • Microsoft — Edge, Windows — volledig ondersteund via Windows Hello
  • Hardware keys — YubiKey en vergelijkbare FIDO2-hardware tokens

De dekking is breed genoeg om passkeys aan te bieden als primaire authenticatiemethode voor de meeste applicaties.

Wanneer passkeys implementeren?

Passkeys zijn relevant voor elke applicatie met gebruikersauthenticatie, maar vooral waardevol wanneer:

  • Je applicatie gevoelige data bevat (financieel, medisch, persoonlijk)
  • Je last hebt van accountovernames of credential stuffing
  • Je gebruikers klagen over wachtwoordcomplexiteit of resetprocessen
  • Je een klantportaal of SaaS-product bouwt waar inlogervaring ertoe doet
  • Je aan strenge beveiligingseisen moet voldoen (ISO, NIS2)
De vraag is niet of je overstaapt op passkeys, maar wanneer. Hoe eerder je begint, hoe eerder je gebruikers veiliger en makkelijker inloggen.

Conclusie

Passkeys zijn de toekomst van authenticatie en die toekomst is nu. Ze zijn veiliger dan wachtwoorden, gebruiksvriendelijker dan 2FA en worden breed ondersteund. De implementatie is gefaseerd mogelijk, zodat je gebruikers geleidelijk kunt meenemen. Als je een nieuwe applicatie bouwt, overweeg passkeys als primaire authenticatiemethode. Als je een bestaande applicatie hebt, begin ze aan te bieden als optie.

Wil je passkeys implementeren in je applicatie? Neem contact op — we helpen je bij de technische implementatie en de migratiestratregie.

Veelgestelde vragen

Wat zijn passkeys precies?
Passkeys zijn een passwordless authenticatiemethode gebaseerd op de WebAuthn-standaard. In plaats van een wachtwoord gebruik je biometrie (vingerafdruk, Face ID) of een apparaat-PIN. De cryptografische sleutel wordt veilig opgeslagen op je device en nooit gedeeld met de server.
Zijn passkeys veiliger dan wachtwoorden met 2FA?
Ja. Passkeys zijn phishing-resistent omdat ze gebonden zijn aan een specifiek domein. Ze kunnen niet worden hergebruikt, onderschept of gelekt. Zelfs wachtwoorden met 2FA zijn kwetsbaarder voor phishing-aanvallen en social engineering.
Kan ik passkeys implementeren in mijn bestaande applicatie?
Ja. Passkeys worden ondersteund door alle grote browsers en besturingssystemen. Je kunt ze stapsgewijs invoeren naast bestaande wachtwoordauthenticatie, zodat gebruikers geleidelijk overstappen.
Gerelateerde expertise Maatwerk Software
Bekijk
Onderwerpen
Passkeys Authenticatie Security WebAuthn Passwordless

Gerelateerde artikelen

Security

Twee-factor authenticatie

Waarom 2FA essentieel is en hoe je het implementeert.

Lees artikel
Security

Security by design

Beveiliging als fundament, niet als afterthought.

Lees artikel
Juridisch

AVG / GDPR voor webapplicaties

Wat moet je technisch regelen om AVG-compliant te zijn?

Lees artikel

Hulp nodig?

Vragen over dit onderwerp? Laten we het erover hebben.

Neem contact op